Actores rusos utilizan redes de atención médica comprometidas contra organizaciones ucranianas



Los actores de amenazas afiliados a Rusia han comprometido los sistemas que pertenecen a múltiples organizaciones en los EE. UU., el Reino Unido, Francia y otros países y los están utilizando para lanzar ataques contra objetivos en Ucrania.

Entre aquellos cuyas redes los actores de amenazas han secuestrado se encuentran al menos 15 organizaciones de atención médica, una compañía Fortune 500 y un sistema de monitoreo de represas, según un estudio de la compañía de inteligencia de amenazas y engaño cibernético Lupovis publicado el 6 de diciembre.

«Los delincuentes rusos se están desviando a través de sus redes para lanzar ciberataques contra ucranianos». [organizations]lo que en la práctica significa que están utilizando estas organizaciones para realizar su trabajo sucio”, advirtió Lupovis en su informe.

Lupovis implementó recientemente un conjunto de documentos señuelo, portales web y servicios SSH en World wide web como parte de un esfuerzo por estudiar la actividad de amenazas rusas dirigidas a entidades ucranianas. El objetivo era averiguar hasta qué punto la guerra de Rusia en Ucrania se había extendido al ámbito cibernético, como muchos predijeron que sucedería.

Señuelos temáticos de Ucrania

La compañía diseñó los señuelos para atraer a los actores rusos que buscaban comprometer objetivos ucranianos. Por ejemplo, Lupovis etiquetó documentos señuelo con nombres relacionados con funcionarios del gobierno ucraniano y la Infraestructura Nacional Crítica del país, y sus sitios world-wide-web señuelo falsificaron sitios políticos y gubernamentales ucranianos. Los documentos señuelo contenían información que los adversarios considerarían útil, como nombres de usuario, contraseñas y direcciones de activos y bases de datos supuestamente críticos en los sitios internet señuelo. La empresa filtró deliberadamente algunos de estos documentos falsos en foros clave de la Darkish Net.

Lupovis logró atraer tres tipos de adversarios a sus sitios de señuelo. Un conjunto compuesto por atacantes oportunistas, o aquellos que escanean constantemente Net en busca de CVE y sistemas explotables. Esta era una categoría de actor de amenazas que Lupovis ignoró a los efectos de su estudio. La segunda categoría de adversario estaba compuesta por actores de amenazas que aterrizaban directamente en los sitios de señuelo sin seguir las migas de pan que Lupovis había plantado en los foros de la Dim Website. El tercer grupo de actores de amenazas eran en su mayoría adversarios con sede en Rusia que mordieron el anzuelo, extrajeron información de los documentos señuelo y la usaron para atacar los sitios world wide web señuelo.

En full, entre 50 y 60 atacantes aterrizaron en cada uno de los dos sitios de señuelo que Lupovis ha establecido, algunos de ellos solo minutos después de que los sitios se pusieran en marcha. Una vez en los sitios, los atacantes llevaron a cabo una variedad de actividades maliciosas, incluidos ataques de inyección SQL, tácticas de inclusión remota de archivos e intentos de explotación de Docker. En muchos casos, los actores de amenazas en los sitios señuelo intentaron convertirlos en parte de botnets DDoS más grandes o usarlos para lanzar ataques contra otros sitios website ucranianos.

El grupo más grande de atacantes eran actores independientes, dice Xavier Bellekens, director ejecutivo de Lupovis. A menudo parecían estar actuando solos y eran parte de comunidades en Telegram, dice. «Algunos actores estaban más avanzados en sus técnicas, tácticas y procedimientos. Sin embargo, aún no hemos podido correlacionarlos con APT rusos conocidos».

Las motivaciones principales en muchos de estos ataques parecen ser el robo de información, la interrupción y el uso de sitios world wide web de señuelo para lanzar ataques contra otros objetivos ucranianos, señala.

Ir tras la asistencia sanitaria

Uno de los aspectos más desconcertantes que observaron los investigadores de Lupovis fue la cantidad de ataques a sus señuelos de otros sitios world wide web y sistemas previamente comprometidos pertenecientes a organizaciones y entidades de atención médica en otros sectores industriales, de varios países.

Bellekens dice que Lupovis no pudo identificar a los grupos específicos que estaban llevando a cabo estos ataques, o si alguno de ellos period previamente conocido como grupo ruso de amenazas persistentes avanzadas. «Los identificamos como rusos si usaban scripts que contenían cirílico, intentaban acceder a sitios net rusos, [or] buscó información específica en cirílico”, dice. “Un gran número de estos adversarios intentaron explotar aún más los señuelos para lanzar ataques contra entidades ucranianas”.

Los hallazgos de Lupovis sugieren que los temores de principios de este año sobre los ataques cibernéticos rusos en Ucrania que afectaron a organizaciones en otros países eran correctos. “Los ciberataques rusos se han disparado y cualquier país o empresa que se haya aliado con Ucrania o se haya opuesto a la guerra se ha convertido en un objetivo”, según el informe.

Las preocupaciones sobre tales ataques llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir un aviso a principios de este año instando tanto al gobierno como a las organizaciones privadas a asumir una postura de Shields Up para detectar y responder a los ataques de los grupos cibernéticos rusos. el asesoramiento siguió las declaraciones del presidente Joe Biden con respecto a la voluntad del gobierno de los EE. UU. de responder de la misma manera a cualquier intento de Rusia de atacar a los EE. UU. en el ciberespacio o por otros medios asimétricos.



Enlace a la noticia unique